Positive Technologies
Новости

Positive Technologies помогли устранить уязвимость в ПО для мониторинга, визуализации и контроля состояния IT-инфраструктуры

16 декабря 2019

Эксперт отдела безопасности промышленных систем управления Positive Technologies Александр Мелких выявил уязвимость в программном обеспечении PRTG Network Monitor разработки немецкой компании Paessler. Данное ПО широко применяется во множестве компаний различных отраслей в качестве вспомогательного элемента, осуществляющего контроль за состоянием устройств в сети. На текущий момент, более 16 тысяч серверов с данным ПО, в том числе в США, Бразилии, Германии и России, доступны из сети Интернет.

Уязвимость CVE-2019-19119 заключается в использовании хешированного пароля в качестве аутентифицирующего фактора в некоторых обработчиках API, что позволяло получить доступ к функциональности ПО PRTG Network Monitor.

Как показывает практика, данное ПО часто устанавливается на пограничных узлах, например между доверенной и недоверенной сетями. Получив доступ к ПО, злоумышленник может извлечь подробную информацию об узлах сети и их конфигурации. Это дает ему широкие возможности для развития атаки. Также было выявлено, что используемая функция вычисления хеша пароля не является криптостойкой и ее нельзя назвать односторонним криптографическим алгоритмом вычисления хеш-функции. При этом реализованный механизм подвержен коллизиям, что позволяет найти исходный пароль или коллизию для его хеша, зная значение хеша и криптографической соли (эти значения хранятся в публичной ветви реестра ОС).

Стоит отметить, что эксперты Positive Technologies уже находили уязвимости в веб-интерфейсе данного ПО в 2018 году (CVE-2018-19203, CVE-2018-19204, CVE-2018-19410, CVE-2018-19411). Этим уязвимостям была присвоена высокая и критическая степени риска.

«Нельзя отрицать, что для бесперебойной работы современной IT-инфраструктуры сложно обходиться без программного обеспечения для ее мониторинга и контроля. Однако при оценке возможных киберугроз для предприятия вспомогательное ПО нельзя списывать со счетов: его также необходимо исследовать на наличие возможных уязвимостей, особенно если оно используется для обеспечения штатного функционирования основного направления компании, например АСУ ТП. Помимо уязвимостей в ПО PRTG Monitor во время работ по анализу защищенности АСУ ТП на проектах встречалось и другое подобное ПО WhatsUP Gold, в котором наши специалисты также находили уязвимости¹», — говорит руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Вендор в короткие сроки устранил уязвимость и уведомил своих пользователей о необходимости установки новой версии программного обеспечения, отправив соответствующие инструкции.

  1. CVE-2018-5777, CVE-2018-5778